Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Cloud Security 101 by Madhav Chablani


Published on

Cloud Security 101 by Madhav Chablani @ Combined OWASP/null Delhi chapter meet on 25th July, 2015

Published in: Technology
  • Login to see the comments

  • Be the first to like this

Cloud Security 101 by Madhav Chablani

  1. 1. Cloud Security 101Cloud Security 101 By Madhav Chablani  Cloud Security AllianceCloud Security Alliance 
  2. 2. Agenda g What we are going to coverat e a e go g to co e • The current & future state of cloud computing  adoption p • Security best practices learned by enterprise  users of cloud  • The security perspective of the cloud providers  • Cloud security trends changing the market  • How to apply the lessons learned to your own  cloud computing security strategy
  3. 3. Cloud  in Enterprises 2015   • Awareness , opportunism and strategic . • Leaders creating new native cloud strategies  and architectures • Data security is a board level issue in over 60%  of enterprises (CSA/SkyHigh Networks survey p ( / y g y 2015)  • Leveraging hybrid clouds: public and privateLeveraging hybrid clouds: public and private   • Supporting multiple assurance requirements
  4. 4. What are leading edge organizations doing? • Implementing cloud security intermediariesImplementing cloud security intermediaries  such as CASB: Cloud Access Security Broker  • Applying security to DevOps and DevOps to• Applying security to DevOps and DevOps to  security  C i h l i D k• Container technologies: Docker, ….etc  • Security analytics  • Integration of Internet of Things  • Creating new native cloud security strategiesCreating new native cloud security strategies
  5. 5. Cloud of the Future ‐Cloud 2020  • Leading edge enterprises will be all cloud (and more  successful)  • Mainstream enterprises will be majority cloud (Cloud First)  • Majority of endpoints will be outside corporate control (e.g.  BYOD Cloud Managed) – little control over end pointsBYOD, Cloud Managed)  little control over end points  • Majority of cloud connected devices are Internet of Things  • Vendor‐neutral Virtual Private Clouds compete with Private p Clouds  • Mastering cloud security by 2020 requires advancement in  l d t h lpeople, process and technology • Understand the power – One line of code can create a  datacenter! • And this gives Security culture a shock
  6. 6. Cloud Lessons  • Misunderstanding different  types of Clouds and your Role yp y • Unrealistic expectations of  customized services from  idproviders  • Forcing legacy tools &  architectures on cloud securityarchitectures on cloud security  problems  • Heavy‐handed blocking of cloud  services backfires on infosec • Key role of intermediaries  U i li t t• Using compliance as a pretext  for inaction
  7. 7. Customer role in  different clouds : • In all clouds it is a shared  responsibilitydifferent clouds : • IaaS is a greater responsibility  for the customer to harden the  serviceservice  • Provider is responsible for  implementing security in SaaS C t h th lti t• Customer has the ultimate  responsibility for security  assurance  • Market impacts architecture  – Businesses occupy individual  layers (e.g. cloud brokers) y ( g ) – Layers of abstraction emerge  – Innovation/optimization in layers  • Everything becomes virtualized• Everything becomes virtualized
  8. 8. Why isn’t my cloud experience customized ? • Managing a standardized environment is simpler,Managing a standardized environment is simpler,  lowers costs and increases availability  • Software feature requests must be desired by a large q y g percentage of the customer base  • Physical datacenter audits are rare (and usually y y pointless when possible)  • Customer doesn’t get complete access to full  technology stack  • Highly customized systems carry high TCO
  9. 9. The Legacy security problem : • Security professionals bring an existing mindset to cloud  security  AV , IDS , Patch Management , Forensics must be done  differently in cloud • Traditional datacenters are relatively static Cloud change constantly • Network security solutions assume an appliance access to y pp traffic Cloud traffic traverses hypervisors , SDN • Security operations centers ( SOCs ) assumes ability toSecurity operations centers ( SOCs ) assumes ability to  instrument IT systems  Cloud solutions may not have an agent or logfile access for your  SIEM
  10. 10. Compliance : • Regulations and standards are almost all “ pre‐cloud “g p • Many regulations assume customer controls full  technology stack • Many industries & gov’t want “ in‐country “ data  processing  • Virtually all regulations have flexibility to allow for• Virtually all regulations have flexibility to allow for  reasonable interpretation to address “ spirit of law “ • Demonstrating compliance in cloud to auditors is g p another “ shared responsibility “ between customers  and providers
  11. 11. The Provider Perspective : • Huge variety in the types of cloud providers , their g y yp p , security credentials and ability to execute on a security  strategy G d id d t d d it i tt f• Good providers understand good security is a matter of  corporate “ life or death “ • Good providers invest far more in security than anGood providers invest far more in security than an  enterprise • Providers feel redundant compliance and customer  audit requirement is detrimental to security efforts • Providers often reluctant to embrace transparency  about their security practicesabout their security practices.
  12. 12. Key role of intermediaries : • Cloud providers too diverse to hope for uniform  security capabilities  • Enterprises lack recourses to drive requirements into  provider environmentsprovider environments  • Enterprises in a transitional phase in security strategy ,  architecture and tools to meet the cloud challenge I t di i• Intermediaries ‐ – Reduce multi cloud complexities – Create layers of abstractiony – Provide security augmentation to native cloud feature sets  •
  13. 13. Cloud access security brokers (CASBs)y ( ) • Gartner: Cloud access security brokers (CASBs)Gartner: Cloud access security brokers (CASBs)  are on‐premises, or cloud‐based security  policy enforcement points placed betweenpolicy enforcement points, placed between  cloud service consumers and cloud service  providers to combine and interject enterpriseproviders to combine and interject enterprise  security policies as the cloud‐based resources  are accessed CASBs consolidate multipleare accessed. CASBs consolidate multiple  types of security policy enforcement.
  14. 14. CASB : Cloud Access Security Broker  • Varied deployments  – Perimeter – Reverse proxy – Cloud provider API  Integration • Functions D i i S– Decision Support – Context based policy  enforcement – Opportunistic encryptionOpportunistic encryption – Identity federation • Needs  – Standards for providers andStandards for providers and  customers to interface and  integrate – Common policy language ,  compliance and risk metricscompliance and risk metrics
  15. 15. Unique native cloud features benefitting security • Disposable infrastructure • Dynamic scaling of “physical “ resources  • “ Unlimited ‘ provision‐able bandwidth P R S it t l• Per‐ Resource Security controls  • On‐demand virtual data‐centers • Real time stream processingReal time stream processing • Un‐limited storage ( both blob and warehoused ) • Programmatic Key management • DDoS Avoidance ( Elasticity ) • …and more !
  16. 16. Understanding how to leverage cloud to do  security bettersecurity better • Scale out over DDoS Attacks rather than block them  • Destroy compromised servers, retaining image for later  forensics  • High‐risk operations can be containerized and single‐use  • Programmatic changes in response to attack  patterns/behaviorspatterns/behaviors  • Short‐lived resources have minimal impact when  compromised  • API‐centric services are not vulnerable to traditional network  attacks  Thi k b t it D S O• Think about security as DevSecOps
  17. 17. Making cloud providers accountable :  CSA Security , Trust and Assurance Registry ( STAR ) • Based upon CloudBased upon Cloud  Controls Matrix meta‐ framework • World’s largest cloud  assurance registry
  18. 18. Cloud Controls Matrix – Backbone of STAR  • Controls derived from CSA guidance organized Co t o s de ed o CS gu da ce o ga ed into a meta‐framework of 16 domains  • Foundation for all cloud assurance programsp g • Mapped to familiar frameworks : ISO 27001 ,  COBIT , PCI , HIPPA , FISMA ,FedRAMP – mappings  growing virally • Rated as applicable to S‐P‐I • Customer vs Provider Role • CAIQ – Questionnaire Format 
  19. 19. Apply the knowledge – Baseline & foundation( 1/3 ) • Use egress monitoring , CASB or similar to gain g g , g visibility and build a report of your cloud usage • Survey you staff’s cloud experience  d h l l– Hands on experience with at least 2 IaaS , at least 1  PaaS and Security as a Service ? – Do you have any CCSKs on staff( Certificate of Cloud y y ( Security Knowledge ) ? • Build your cloud security framework Cloud controls Matrix (CCM ) is a good start– Cloud controls Matrix (CCM ) is a good start – Assign a team member to map CCM to your own  information Security Management System ( ISMS )
  20. 20. Apply the knowledge – Baseline & foundation( 2/3 ) • Gain visibility into the use and risk of cloud services  • Educate employees to use low risk services leveraging  existing infrastructure  • Integrate anomaly detection with SOC for investigation• Integrate anomaly detection with SOC for investigation  and remediation  • Identify sensitive data stored in sanctioned services  ( B S l f Offi 365)(e.g. Box, Salesforce, Office365)  • Secure data in sanctioned services with encryption,  DLP and access control policies p • Encourage/require providers to list in CSA STAR or  minimally fill out CCM/CAIQ for you
  21. 21. Apply the knowledge – Baseline & foundation( 3/3 ) • Educate security team that cloud requires greater agility  – Shorter risk assessment cycles, constant state of change is the  new normnew norm  – Identify bottleneck processes that don’t scale to cloud speeds  and fix them • Build new cloud‐native security strategiesBuild new, cloud‐native security strategies  – New approaches for anti‐DDoS, forensics, patch mgt, malware,  etc.  – Identity federation dialtoneIdentity federation dialtone – Audit security architecture for physical dependencies  – Leverage Security as a Service to secure *aaS • Research new technologies before business adopts e g• Research new technologies before business adopts, e.g.  containers  • Demand transparency from the cloud provider industry
  22. 22. Security at speed of cloud is scary – and is necessary • Culture change aheadCulture change ahead • But the real security “ Archilles Heal “ for  enterprises is legacy ITenterprises is legacy IT • An Achilles heel is a weakness in spite of overall strength, which can actually or  potentially lead to downfall. While the mythological origin refers to a physical  vulnerability, idiomatic references to other attributes or qualities that can lead to  d f lldownfall are common.
  23. 23. Thank you  • Cloud security Alliance : global , not for profit organization leading  the trusted  ecosystem • Research is free • Come to our events : • Connect with Local Chapter collaboration via Linkedin Cloud Security Alliance (CSA ) ‐ NCR Chapter ( India ) Contact : • | |  • Chair – Cloud Security Alliance ( NCR ) IndiaChair  Cloud Security Alliance ( NCR ) India  Mobile ‐ +91‐9313749494   @ tippingedge